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DATENPAKET.- DATA PACKET 



(57) Abstract: An efficient and reliable monitoring of users of a telecommunication network is achieved by means of a method 
for the monitoring of a telecommunication user's data transmitted by a telecommunication network (4). Copies of the data are 
transmitted to at least one listening station (LEA 6;7;8;9), whereby the data is sent from an exchange device (VSGSN; HSGSN etc.), 
as a copy, to a monitoring handling device (CIH 14) and sent from said device (CIH 14) to one (7) of a number of addresses of 
listening stations (LEA 7;8;9) known thereto (CIH 14). 
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VerdfiTentlicht: 

— mit intemationalem Recherchenbericht 



Zur Erkldrung der Zweibuchstaben-Codes und der anderen Ab- 
kurzungen wird auf die ErkUirungen ("Guidance Notes on Co- 
des and Abbreviations") am Anfang jeder regiddren Ausgabe der 
PCT'Gazette verwiesen. 



(57) Zusammenfassung: Eine effiziente und zuverlassige Uberwachung von Teilnehmem eines Telekommunikationsnetzes wird 
erm5glicht dutch ein Veifahren zum tJberwachen von tiber ein Telekommunikationsnetz (4) Ubertragenen Daten eines Telekommu- 
nikationsteilnehmers (1) durch Ubertragung von Kopien der Daten an mindestens eine Abhorstelle (LEA 6;7;8;9) wobei die Daten 
von einer VermitUungseinrichtung (VSGSN; HSGSN etc.) in Kopie an eine Ubenvachungsbehandlungseinrichtung (CIH 14) ge- 
sandt werden und von dieser (CM 14) an jeweils eine (7) von mehreren ihr (CIH 14) bekannten Adressen von Abhorstellen (LEA 
7;8;9) gesandt werden. 
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Beschreibung 

'^Zentrale Vermittlungsstelle fiir eine IP- Uberwachung" 

5 Die Erfindung betrif ft Verfahren und Vorrichtungen zum 
Ermoglichen der Uberwachiang von uber ein Mobilfunknetz 
ubertragenen Daten, 

Eine detn Fachmann bekannte Uberwachung von Gesprachen 

10 zwischen Mobilfunkteilnehmern gemaS Figur 1 sieht vor^ dass 
die Konmiunikation (Gesprache oder Multimediadatenubertragung) 
zwischen zwei Mobilfunkteilnehmern eines oder mehrerer 
Mobilfunknetze liberwacht wird, indem die zwischen d^n 
Mobilfunkteilnehmern ubertragenen Nutzdaten auf ihrem Weg 

15 durch (mindestens) ein Mobilfunknetz in einer 

Vermittlungseinrichtung (beispielsweise SGSN) , welche eine 
Liste mit Identitaten abzuhorender Teilnehmer (MSI SDN 
und/oder IMSI und/ oder IMEI) gespeichert hat, kopiert werden 
urid die kopiert en Nutzdaten uber eine Schnittstelle {= 

20 Boarder Gateway) an Uberwachungseinrichtungen der 

Geheimdienste/Bundesgrenzschutz /Polizei etc. ubermittelt 
werden. Da es mehrere Behorden in mehreren ort lichen 
Niederlassungen gibt, die fur die Uberwachung von 
Mobilfunkteilnehmern zustandig sein konnen, werden die 

25 kopierten Daten von Vermittlungseinrichtungen, welche die 
Daten zum Abhoren kopieren, an weitere 
Vermittliingseinrichtungen (Boarder Gateways) an 
Netzubergangen des Mobilfunknetzes ubermittelt, welche zu 
jeweils einer der Abhorstellen LEA (der Polizei oder des 

30 Bundesgrenzschutzes etc.) eine sichere Verbinduhg wie 

beispielsweise einen IP-sec-Tunnel uber das Internet etc. 
aufbauen, uber welchen verschlusselt die Daten an die 
zustandige Abhorstelle ubermittelt werden. Da die Ubertragung 
an die Abhorstellen LEA ausfuhrende Vermittlungsstellen an 

35 Grenzen eines Mobilfunknetzes zumindest einmal pro 

Mobilfunknetz vorzusehen sind und die Ubertragung zu jeder 
Abhorstelle LEA getrennt erfolgt, ist eine 
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Schlusselverwaltung (Key Management), in jeder dieser 
Schnittstellen-Vermittlungseinrichtiingen (Boarder Gateway) 
fur jede der Abhorstellen erforderlich. 

5 Aufgabe der vorliegenden Erfindung ist es, die Uberwachung 
abzuhorender Daten von Teilnehmern eines Mobilfunknetzes 
effizient und zuverlassig zu ertnoglichen. Die Aufgabe wird 
jeweils durch die Gegenstande der unabhangigen Anspruche 
gelost. 

10 

Durch die erf indungsgemaSe Uberwachungsbehandlxingseinrichtung 
(= Central Interception Handler CIH) , liber welche abzuhorende 
Daten an Abhorstellen der unterschiedlichen zustandigen 
Behorden ubertragen werden, wird die Schlusselverwaltung (Key 

15 Management) verglichen mit der bisher praktizierten Losung 
der Einzelverbindungen von Abhorstellen LEA zu 
Schnittstellenvermittlungseinrichtungen (Boarder Gateway) 
erheblich vereinfacht. Dennoch bleibt die Ubertragung der 
abgehorten Daten zu den Abhoreinrichtungen sehr sicher und 

20 ist beispielsweise auch uber das Internet moglich, da 

(erf induingsgemalS in einfach administrierbarer Weise) eine 
verschlusselte Ubertragung von der 

Uberwachungsbehandlungseinrichtung CIH zu den Abhorstellen 
LEA erfolgen kann. Dabei kann beispielsweise pro 
25 Mobilfunknetz oder von mehreren Mobilfunknetzen nur eine 

Uberwachungsbehandlungseinrichtung CIH verwendet ' werden oder 
es konnen fur ein Mobilfunknetz mehrere 
Uberwachungsbehandlungseinrichtungen verwendet werden, 

3 0 Weitere Merkmale und Vorteile geben sich aus den Anspriichen 

und der nachf olgenden Beschreibung eines Ausfuhrungsbeispiels 
anhand der Zeichnung. Dabei zeigt : 

Figur 1 als Blockschaltbild eine Uberwachung von uber ein 
35 Mobilfunknetz ubertragenen Nutzdaten gemaiS dem 

Stand der Technik mit Einzelverbindungen zwischen 
Vermittlungseinrichtungen (Boarder Gateways) und 



I 
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Abhorstellen ' (LEA) seitens jeweils zustandiger 
Behorden, 

Figur 2 als Blockschaltbild die erf indungsgemaSe 

Uberwachung von liber ein Mobilf unknetz ubertragenen 
5 Daten mit einer zentralen 

Uberwachungsbehandlungseinrichtung CIH . 

Figur 1 zeigt als Blockschaltbild ein Mobil funkendgerat 1 
(eine Mobilstation, einen Communicator etc.), welche liber 

10 eine Luf tschnittstellenubertragungseinrichtung (RNC oder BS) 
2 und uber eine Vertnittliingseinrichtung (VSGSN etc.) 3 eines 
ersten Mobilf unknetzes 4 und ggf . ein weiteres Mobilf unknetz 
Oder ein Festnetz mit einem weiteren Teilnehmer (14) 
kommuniziert oder liber einen Internet zugang uber das Internet 

15 (http / wap etc.) kommuniziert. Im in der Figur 1 

dargestellten Beispiel wird den jeweils zustandigen Behorden 
(Polizei/Bundesgrenzschutz/Geheimdienst usw.) mit jeweils 
einer Abhorstelle LEA 6,7,8,9 ermoglicht, Gesprache von 
Teilnehmern 1 uber ein Mobilf unknetz 4 zu uberwachen, indem 

20 das Gesprach (oder die Multimediadatenubertragung uber das 

Internet etc.) represent ierende Daten auf ihrem Weg durch das 
Mobilfunknetz 4 von einer Vermittlungseinrichtung (SGSN oder 
VSGSN Oder HSGSN oder sonstige Vermittlungsstelle V) 3 
(soweit sie von gemafi einer in der Vermittlungsstelle 3 

25 vorhandenen Liste als von zu uberwachenden GerSten oder 

Personen (1) stammen) , identif iziert werden (beim Einbuchen 
Oder durch 

Uberwachiing des Datenstromes) , und in Kopie an eine 
Schnittstellenvermittlungseinrichtiing (Boarder Gateway) 11 

30 ubertragen werden, welche die kopierten Daten zu der fur die 
Uberwachung dieses Teilnehmers (1) oder seines Endgerates 
zustandigen Abhorstelle (Abhoreinrichtungen mit Computern 
Oder Aufnahmeeinrichtungen oder Telefon etc.) der zustandigen 
Behorde in einem gesicherten Tunnel, beispielsweise IP-sec- 

35 Tunnel ubertragt. Hierfur ist in jedem Mobilfunknetz 
mindestens eine Schnittstellenvermittlungseinrichtung 
(Boarder Gateway) 11,12 vorgesehen, welche zu jeder der 
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Abhorstellen 6 bis 9 jeweils eine eigene Verbindung aufbaut. 
Da die Ubertragung zwischen den 

Schnittstellenvermittlungseinrichtungen (Boarder Gateway) 11, 
12 und den Abhorstellen 7 bis 9 moglichst abhorsicher 
5 erfolgen soli, erfolgt sie beispielsweise verschlusselt , 
wobei fur die Ubertragung zu vein^rendete Schliissel in jeder 
Vermittlungseinrichtung 11,12 fur jede Abhorstelle 6 bis 9 
eigens verwaltet werden mussen (Key Management) . 

10 GemaS Figur 2 wird die Uberwachung von uber ein Mobilfunknetz 
iibertragenen Daten durch eine 

Uberwachungsbehandlungseinrichtiing CIH 14 unterstfltzt, welche 
die Schlusselverwaltung fur die gesicherte (verschliisselte) 
Ubertragung uber ein paketvermitteltes Netz (beispielsweise 
15 per Ipsec) erheblich vereinfacht. Wie schon zu. Figur .1 
• erlautert werden auch im Beispiel in Figur 2 Daten 
(Sprachdaten Oder andere Nutzdaten) , eines 

Mobilfunkteilnehmers iiber ein Mobilfujiknetz (oder ein anderes 
Telekommunikationsnetz) paketvermittelt an ein wei teres 

20 Telekommunikationsnetz (Mobilfunknetz, oder Festnetz, oder 

Internet, oder anderes paketvermitteltes Netz) ubertragen. Auf 
ihrem Weg durch das Telekommunikationsnetz 4 werden die Daten 
(Datenpakete) von einer Vermittlungseinrichtung (welche eine 
Tabelle zu libearwachende Teilnehmer gespeichert hat) kopiert 

25 und die Kopien der Daten fiber eine Vermittlungseinrichtung 

(Boarder Gateway) an Abhorstellen LEA ubertragen. Dabei wird * 
jedoch erf indxingsgemaS nicht ein Tunnel zwischen den 
Schnittstellenvermittlungseinrichtungen (Boarder Gateways 
11 , 12 ) und den Abhorstellen 6,7,8,9 auf gebaut , sondem 

3 0 zwischen der Schnittstellenvermittlungseinrichtung li (oder 
12) und einer zentralen Uberwachungsbehandlungseinrichtung 
CIH 14, welche eine sichere Ubertragxing (beispielsweise per 
Internetprotokoll oder in einem anderen paketvermittelten 
Protokoll liber das Internet oder ein anderes Netz) zu der 

15 zustandigen Abhorstelle 7 fur diesen Teilnehmer durchf lihrt . 
Hierfiir hat die Uberwachungseinrichtung 14 eine Tabelle von 
Adressen (IP-Adressen) aller Abhorstellen LEA 6,7,8v.9. 
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Uberdies besitzt die Uberwachungsbehandlxingseinrichtung CIH 
14 einen Speicher (oder Zugriff auf einen Speicher) mit einer 
Liste von Schlusseln, wobei fiir jeweils eine bestimmte 
Abhorstelle LEA 6/7/8/9 jeweils mindestens ein Schlussel 
5 abgelegt ist, mit welchem verschlusselt die abgehorten Daten 
zu dieser Abhorstelle 6/7/8/9 zu ubertragen sind. Im 
dargestellten Beispiel werden die Daten von der 
Uberwachungsbehandlungseinrichtung 14 an die jeweils 
zustandige (mindestens eine) Abhorstelle 6,7,8,9 fur alle 
10 Abhorstellen liber die gleiche paketvermittelte 

Veirmittlungseinrichtung (Router V) 16 ubertragen. 

Vorteilhaf terweise muss erf indungsgemafi die Adresse (IP- 
Adresse etc.) der zustandigen Abhorstelle LEA 6/7/8/9 nur der 
15 Uberwachungseinrichtung CIH 14 bekannt sein und nicht jeder 

Schnittstellenveirmittlungseinrichtung (Boarder Gateway) 11,12 
und auch die Schiisselverwaltung muss nur in der 
Uberwachungsbehandlungseinrichtung 14 (Central Interception 
Handler CIH) erfolgen. 

20 

Durch eine Liste der Zuordnungen im CIH sind erf orderliche 
Adressumsetzungen moglich. 

25 Die Ubertragiing der Daten zwischen den 

Schnittstellenvermittlungseinrichtungen (Boarder Gateway) 11, 
12 eines Netzes, uerfolgt beispielsweise uber eine gesicherte 
Verbindung / Ipsec- Tunnel zwischen Vermittlungseinrichtungen 
Boarder Gateway und der Uberwachungsbehandlungseinrichtung 14 

3 0 ubertragen. Die Uberwachungsbehandlungseinrichtung CIH 14 
kann Teil des Netzwerks sein, in welchem eine oder alle 
Abhorstellen 6 bis 9 angeordnet sind, also sich in diesem 
Netzwerk befinden. 



• t 
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Pat en t anspruche 



10 



15 



20 



Verfahren zum Ermoglichen der Uberwachung von iiber ein 
Telekotnmunikationsnetz (4) libertragenen Daten eines 
Telekoiranimikationsteilnehmers (1) durch Ubertragung von 
Kopien der Daten an mindestens eine Abhorstelle (LEA 
6;7;8;9) , 

dadurch gekennzeichnet, 

dass die Daten von einer Vermittlungseinrichtung (VSGSN; 

HSGSN etc.) in Kopie an eine 

Uberwachungsbehandliingseinrichtung (CIH 14) gesandt 
werden und von dieser (CIH 14) an jeweils eine (7) von 
mehreren ihr (CIH 14) bekannten Adressen von 
Abhorstellen (LEA 6 ; 7 ; 8 ; 9 ) gesandt werden . 

Verfahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, 
dass nur die Ubeirwachungsbehandlungseinrichtung (CIH 14) 
die Adresse (LEA-IP-Adresse von 6; 7; 8; 9) der 
Abhorstellen (LEA 6 ; 7 ; 8 ; 9) kennt , insbesondere in einer 
Tcibelle in einem Speicher gespeichert hat. 



25 



3 . Verfahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, 
dass das Telekommunikationsnetz ein Mobilf unknetz ist. 



30 



4 . Verfahren nach einem der vorhergehenden Anspriiche 
dadurch gekennzeichnet, 
dass das Telekommunikationsnetz ein paketvermitteltes 
Netz, insbesondere IP-Protokoll-Netz ist. 



35 



Verfahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, 
dass die Vermittlungseinrichtungen (VSGSN 3; HSGSN-., ) 
die abzuhorenden kopierten Daten an eine 
Schnittstellenvermittlungseinrichtung (Boarder Gateway 
11; 12) senden, welche die Adresse der 
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Uber-wachungsbehandlungseinrichtung (CIH 14) kennen, 
insbesondere in einem Speicher gespeichert heiben. 

Verf ahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, 
dass die Abhorstellen (LEA 6; 7; 8; 9) verschiedene 
' Adressen haben (LEA- IP -Adr esse) , die die 
Uberwachungsbehandlungseinrichtung (CIH) kennt. 

Verf ahren nach einem der vorhergehenden Ansprflche 
dadurch gekennzeichn e*t, 
dass die Uberwachungsbehandlungseinrichtung (14) sich im 
gleichen Netzwerk befindet wie die Abhorstellen (7 bis 
9) . 

Verf ahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, 
dass ein Sicherheitstunnel , insbesondere IP- sec-Tunnel, 
zwischen der Uberwachungsbehandlungseinrichtung (14) und 
den Schnittstellenvermittlungseinrichtungen (Boarder 
Gateway 11,12) aufgebaut ist oder fur eine IJfberwachxing 
eines Gesprachs aufgebaut wird, 

Verf ahren nach einem der vorhergehenden Anspruche 
dadurch gekennzeichnet, 
dass mehrere Uberwachungsbehandlungseinrichtungen (CIH 
11; 12) in einem Mobilfunknetz (4) angeordnet sind- 

Veirf ahren nach einem der Anspruche 1 bis 8 
dadurch gekennzeichnet, 
dass in einem Mobilfunknetz jeweils nur eine 
Uberwachungseinrichtung ( 11 ; 12 ) angeordnet ist . 

Vorrichtung (CIH 14) , insbesondere zur Durchfuhrung des 
Verfahrens nach einem vorhergehenden Anspruche, 
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mit einer Schnittstelle zu mindestens einer 
Vermittlungseinrichtung (Boarder Gateway 11,12), fur den 
Etnpfang von abzuhorenden Da ten, 

mit einem Spisicher mit einer Liste von Adressen und 
5 Schlusseln von mehreren Abhorstellen (6; 7; 8; 9) , 

mit einer Schnittstelle zum Ubertragen von uber die 
erste Schnittstelle von einer Vermittlungseinrichtung 
(11) empfangenen abzuhorenden Daten eines Endgerates (1) 
an eine aufgrund der Identitat des Teilnehmers 
10 (MSISDN, ISDN,MEI etc.) und der in einem Speicher in der 

Vorrichtung (14) gespeicherten Liste identif izierten IP- 
Adresse einer Abhorstelle (6; 7; 8; 9) . 
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Description 

"Central exchange for IP monitoring" 

5 The invention relates to methods and devices for enabling data 
transmitted over a public land mobile network to be monitored. 

A means of monitoring calls between mobile radio users that is 
known to the person skilled in the art, as illustrated in 
10 Figure 1, provides that the communication (conversations or 



multimedia data transmission) between two mobile radio users of 
one or more public land mobile networks is monitored in that 
the user data transmitted between the mobile radio users, while 



15 is copied in a switching device (for example SGSN) which has 
stored a list containing identities of users subject to call- 
tapping (MSISDN and/or IMSI and/or IMEI) and the copied user 
data is transmitted via an interface (= border gateway) to 
monitoring devices belonging to the secret intelligence 

20 services, federal border police, police, etc. Since there are a 
number of government agencies in a number of local offices that 
can be responsible for monitoring mobile radio users, the 
copied data is transmitted by switching devices which copy the 
data to be intercepted to further switching devices (border 

25 gateways) at network gateways of the public' land mobile 

network, which gateways each set up a secure connection, such 
as, for example, an IPsec tunnel over the Internet etc., to one 
of the listening stations LEA (of the police or the federal 
border police, etc.), via which secure connection the data is 

30 transmitted in encrypted form to the listening station 

responsible. As the exchanges carrying out the transmission to 
the listening stations LEA at borders of a public land mobile 
network are to be provided at least once per public land mobile 
network and the transmission is performed separately to each 



on its way through (at least) one public land mobile network. 
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listening station LEA, a key management means is required in 
each of these interface switching devices (border gateways) for 
each of the listening stations. 

5 The object of the present invention is to enable the monitoring 
of data to be intercepted which is associated with users of a 
public land mobile network in an efficient and reliable manner. 
This object is achieved in each case by the subject matter of 
the independent claims . 



The inventive monitoring handling device (= Central 
Interception Handler CIH) via which data to be intercepted is 
transmitted to listening stations of the different government 
agencies responsible considerably simplifies key management 

15 compared with the previously practised solution of individual 
connections from listening stations LEA to interface switching 
devices (border gateways) . Nevertheless the transmission of the 
intercepted data to the listening devices is still very secure 
and is also possible for example via the Internet, since (in an 

20 easy-to-administer manner according to the invention) an 
encrypted transmission can take place from the monitoring 
handling device CIH to the listening stations LEA. At the same 
time it is possible for only one monitoring handling device CIH 
to be used per public land mobile network or by a number of 

25 public land mobile networks, for example, or alternatively a 
plurality of monitoring handling devices can be used for one 
public land mobile network. 

Further features and advantages will emerge from the claims and 
30 the following description of an exemplary embodiment with 
reference to the drawing, in which: 

Figure 1 is a block diagram showing the monitoring of user 



10 



data transmitted over a public land mobile network 
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according to the prior art having individual 
connections between switching devices (border 
gateways) and listening stations (LEA) on the side 
of competent government agencies in each case, 



5 Figure 2 is a block diagram showing the monitoring of data 



10 Figure 1 is a block diagram showing a mobile radio terminal 
device 1 (a mobile station, a communicator etc.) which 
communicates with a further user (14) via an air interface 
transmission device (RNC or BS) 2 and via a switching device 
(VSGSN etc.) 3 of a first public land mobile network 4 and 

15 possibly a further public land mobile network or a fixed 

network or via an Internet access point over the Internet (http 
/ wap etc.) . In the example shown in Figure 1 it is made 
possible for the competent government agencies in each case 
(police/federal border police/secret intelligence service 

20 etc.), each having a listening station LEA 6, 7, 8, 9, to 

monitor calls of users 1 over a public land mobile network 4 in 
such a way that data representing the call (or the multimedia 
transmission over the Internet, etc.) is identified (during 
registration or by monitoring of the data stream) on its way 

25 through the public land mobile network 4 by a switching device 
(SGSN or VSGSN or HSGSN or other exchange V) 3 (insofar as said 
data originates from devices or persons (1) to be monitored 
according to a list held in the exchange 3) and a copy of said 
data is transmitted to an interface switching device (border 

30 gateway) 11 which in turn transmits the copied data in a secure 
tunnel, for example an IPsec tunnel, to the competent 
government agency' s listening station (bugging devices with 
computers or recording devices or telephone etc.) responsible 
for monitoring said user (1) or his terminal device. For this 



transmitted over a public land mobile network 
according to the invention having a central 
monitoring handling device CIH. 
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purpose there is provided in each public land mobile network at 
least one interface switching device (border gateway) 11, 12 
which sets up a separate connection in each case to each of the 
listening stations 6 to 9. 
5 As the transmission between the interface switching devices 
(border gateways) 11, 12 and the listening stations 7 to 9 is 
ideally to be executed in an intercept-proof manner, it takes 
place for example in encrypted form, with keys to be used for 
the transmission having to be administered separately in each 
10 switching device 11, 12 for each listening station 6 to 9 (key 
management) . 

According to Figure 2 the monitoring of data transmitted over a 
public land mobile network is supported by a monitoring 

15 handling device CIH 14 which considerably simplifies the key 
management for the secure (encrypted) transmission over a 
packet-switched network (for example by means of IPsec) . As 
already explained in relation to Figure 1, in the example shown 
in Figure 2 data (voice data or other user data) of a mobile 

20 radio user is also transmitted over a public land mobile 

network (or some other telecommunication network) by means of 
packet switching to a further telecommunication network (public 
land mobile network, or fixed network, or Internet, or other 
packet-switched network) . On its way through the 

25 telecommunication network 4 the data (data packets) is copied 
by a switching device (which has stored a table of users to be 
monitored) and the copies of the data are transmitted via a 
switching device (border gateway) to listening stations LEA. In 
the process, however, according to the invention a tunnel will 

30 be set up, not between the interface switching devices (border 
gateways 11, 12) and the listening stations 6, 7, 8, 9, but 
between the interface switching device 11 (or 12) and a central 
monitoring handling device CIH 14 which performs a secure 
transmission (for example using the Internet Protocol or in 
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some other packet-switched protocol over the Internet or 
another network) to the listening station 7 responsible for 
this user. For this purpose the monitoring device 14 has a 
table of addresses (IP addresses) of all the listening stations 
5 LEA 6, 1, 8, 9. 

In addition the monitoring handling device CIH 14 has a memory 
(or access to a memory) containing a list of keys, with at 
least one key being stored for a specific listening station LEA 

10 6/7/8/9 in each case, by means of which key the intercepted 

data is to be transmitted to this listening station 6/7/8/9 in 
encrypted form. In the example shown, the data is transmitted 
by the monitoring handling device 14 to the respective 
competent (at least one) listening station 6, 7, 8, 9 for all 

15 listening stations via the same packet-switched switching 
device (router V) 16. 

Advantageously according to the invention the address (IP 
address etc.) of the competent listening station LEA 6/7/8/9 
20 must be known only to the monitoring device CIH 14 and not to 

each interface switching device (border gateway) 11, 12 and the 
key management also only has to take place in the monitoring 
handling device 14 (Central Interception Handler CIH) . 

25 Necessary address translations are possible based on a list of 
the assignments in the CIH. 

The transmission of the data between the interface switching 
devices (border gateways) 11, 12 of a network takes place for 
30 example over a secure connection/IPsec tunnel between switching 
devices (border gateways) and the monitoring handling device 
14. The monitoring handling device CIH 14 can be part of the 
network in which one or all of the listening stations 6 to 9 
are disposed, in other words can be located in this network. 
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Claims 



1. 

5 

10 

15 2. 
20 

3. 

25 

4. 

30 

5. 



A method for enabling the monitoring of data associated with 
a telecommunication user (1), said data being transmitted 
over a telecommunication network (4), by transmission of 
copies of the data to at least one listening station (LEA 6; 
7; 8; 9), 

characterized in that 

a copy of the data is sent by a switching device (VSGSN; 
HSGSN etc.) to a monitoring handling device (CIH 14) and is 
in turn sent by the latter (CIH 14) to one (7) of a number 
of addresses of listening stations (LEA 6; 7; 8; 9) known to 
it (CIH 14) in each case. 

The method according to one of the preceding claims [sic] , 
characterized in that 
only the monitoring handling device (CIH 14) knows the 
addresses (LEA IP address of 6; 7; 8; 9) of the listening 
stations (LEA 6; 7; 8; 9), and in particular has stored said 
addresses in a table. 

The method according to one of the preceding claims, 

characterized in that 

the telecommunication network is a public land mobile 

network. 

The method according to one of the preceding claims, 
characterized in that 

the telecommunication network is a packet-switched network, 
in particular an IP protocol network. 

The method according to one of the preceding claims, 
characterized in that 
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the switching devices (VSGSN 3; HSGSN...) send the copies of 
the data to be intercepted to an interface switching device 
(border gateway 11; 12) which knows the address of the 
monitoring handling device (CIH 14), and in particular has 
5 stored said address in a memory. 

6. The method according to one of the preceding claims, 
characterized in that 

the listening stations (LEA 6; 7; 8; 9) have different 
10 addresses (LEA IP address) which are known to the monitoring 

handling device (CIH) . 

7. The method according to one of the preceding claims, 
characterized in that 

15 the monitoring handling device (14) is located in the same 

network as the listening stations (7 to 9) . 

8. The method according to one of the preceding claims, 
characterized in that 

20 a security tunnel, in particular an IPsec tunnel, is set up 

between the monitoring handling device (14) and the 
interface switching devices (border gateway 11, 12) or will 
be set up for the purpose of monitoring a call. 

25 9. The method according to one of the preceding claims, 
characterized in that 

a plurality of monitoring handling devices (CIH 11; 12) are 
disposed in a public land mobile network (4) . 

30 9. [sic] The method according to one of the claims 1 to 8, 
characterized in that 

only one monitoring device (11; 12) is disposed in a public 
land mobile network in each case. 
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11. A device (CIH 14), in particular for performing the method 
according to one of the preceding claims, 
having an interface to at least one switching device 
(border gateway 11, 12) for receiving data to be 
intercepted, 

having a memory containing a list of addresses and keys of 
a plurality of listening stations (6; 7; 8; 9) , 
having an interface for transmitting data to be intercepted 
from a terminal device (1), said data having been received 
by a switching device (11) via the first interface, to an 
IP address of a listening station (6; 7; 8; 9) , said 
address having been identified on the basis of the identity 
of the user (MSISDN, ISDN, MEI etc.) and the list stored in 
a memory in the device (14) . 
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